Shellcode是一种16进制机器码,用于利用软件漏洞执行攻击者指令。它分为本地和远程,常用于权限提升或远程控制。基本模块包括初始化、获取kernel32基址和API地址;功能模块实现下载执行、捆绑和反弹shell等功能。shellcode通过减少API函数名称使用和使用hash算法提高隐蔽性。
shellcode简介
shellcode是一段用于利用软件漏洞而执行的代码,也可以认为是一段填充数据,shellcode为16进制的机器码,因为经常让攻击者获得shell而得名。shellcode常常使用机器语言编写。 可在暂存器eip溢出后,塞入一段可让CPU执行的shellcode机器码,让电脑可以执行攻击者的任意指令。
下面这张图就是shellcode工作流程,从功能上看,shellcode在整个漏洞利用过程中发挥主要作用就是对计算机端的控制。
shellcode可以按照攻击者执行的位置分为本地shellcode和远程shellcode.
本地shellcode:本地运行的shellcode经常用于利用软件漏洞提升权限。比如在Linux下由普通权限提升至root权限。
远程shellcode:利用软件漏洞获得特定的shellcode,再经由C或Python编写远程攻击程序,进而取得对方电脑的root权限。
Shellcode是漏洞利用的必备要素,也是漏洞分析的重要环节,我们可以通过对shellcode进行定位来辅助回溯原理并确定漏洞特征,通过对shellcode功能的分析,我们还可以确定漏洞样本的危害程度的及其目的,并优肯追踪攻击来源,这对apt供给分析中的溯源工作非常有利。
Shellcode在漏洞样本中的存在形式一般为一段可以自主运行的汇编倒霉,他不依赖任何编译环境,也不能像在IDE中直接编写代码哪有调用API函数名称来实现更能,他通过主动查到dll基址并动态获取api地址的方式来实现api调用ÿ
最低0.47元/天 解锁文章
扫一扫
1083
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
